黑客入侵了美国一加允许人们买卖枪支的网站,暴露了其用户的身份。这次入侵暴露了超过55万用户的大量敏感个人数据,包括客户的全名、家庭住址、电子邮件地址、明文密码和电话号码。此外,据称被盗的数据使其有可能将某个人与特定武器的销售或购买联系起来。
网络安全专家特洛伊-亨特(Troy Hunt)对此表示:"有了这些数据,你就可以把一个公开的清单......并把它解析到[被盗数据库中的数据],这样你就有了[卖家]的姓名、电子邮件、物理地址和电话号码,并且可以推测出枪支的位置",他经营着流行的数据泄露库和警报服务Have I BeenPwned。(发现该漏洞的研究人员与亨特分享了数据,以便他能将其上传到Have I BeenPwned。)
去年年底,一位要求匿名的安全研究人员发现了一个包含数据的服务器,结果发现该服务器被一个黑客(或一群黑客)使用,他们用该服务器存储被盗数据。该服务器没有受到任何系统的保护,无法限制或控制谁可以访问它,因此该研究人员下载了数据并进行了分析。
他发现的数据来自GunAuction.com网站,该网站自1998年以来允许人们将枪支放在网上进行拍卖。
GunAuction.com的屏幕截图
TechCrunch分析了被盗数据的样本,并通过电子邮件联系了100人,通过电话联系了60人。其中,10人确认被盗数据库中的数据是准确的。然而,目前还不清楚这些数据的最新情况,因为有25个电子邮件地址的信息被退回或无法送达,还有几个电话号码拨打后被切断。
GunAuction.com首席执行官Manny DelaCruz在一封电子邮件中证实了这一漏洞。
DelaCruz在声明中写道:"我可以确认,联邦调查局最近与我们联系,讨论可能发生影响我们公司的数据泄露事件,该漏洞可能暴露了姓名、地址和电子邮件地址等个人客户信息。然而,我们想向我们的客户保证,我们没有理由相信任何财务信息在这次漏洞中被访问。我们建议我们的客户保持警惕,监测他们的金融账户和信用报告中的任何可疑活动。我们的意图是尽快通知受影响的用户"。
这不是第一次关于枪支所有者的敏感数据被曝光。去年,加州司法部错误地泄露了个人数据,包括枪支所有者的姓名、生日、地址、年龄、购买日期和他们拥有的枪支许可证类型,以及他们的犯罪识别指数号码,这些都是用来追踪州和联邦的犯罪记录。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
